配置工作区的 IP 访问列表

本文介绍了如何配置 Azure Databricks 工作区的 IP 访问列表。 本文讨论了可以通过 Databricks CLI 执行的最常见任务。 也可以使用 IP 访问列表 API

要求

  • 此功能需要高级计划

  • IP 访问列表仅支持 Internet 协议版本 4 (IPv4) 地址。

  • 如果你在工作区上启用安全群集连接,则必须将计算平面用来访问控制平面的任何公共 IP 添加到允许列表,或者必须配置后端专用链接。 否则,经典计算资源无法启动。

    例如,如果你在使用 VNet 注入的工作区上启用安全群集连接,则 Databricks 会建议你为工作区使用一个稳定的出口公共 IP。 该公共 IP 和任何其他 IP 都必须出现在允许列表中。 请参阅使用安全群集连接时的出口 IP 地址。 或者,如果使用 Azure Databricks 托管 VNet 并将托管 NAT 网关配置为访问公共 IP,则必须在允许列表中显示这些 IP。 有关详细信息,请参阅此 Databricks Community 帖子

检查工作区是否启用了 IP 访问列表功能

若要检查工作区是否启用了 IP 访问列表功能:

databricks workspace-conf get-status enableIpAccessLists

启用或禁用工作区的 IP 访问列表功能

在 JSON 请求正文中,将 enableIpAccessLists 指定为 true(已启用)或 false(已禁用)。

databricks workspace-conf set-status --json '{
  "enableIpAccessLists": "true"
}'

添加 IP 访问列表

如果启用了 IP 访问列表功能,而工作区没有允许列表或阻止列表,则允许所有 IP 地址。 如果将 IP 地址添加到允许列表,会阻止该列表中未包含的所有 IP 地址。 确保将计算平面用来访问控制平面的任何公共 IP 添加到允许列表。 请仔细查看更改,避免意外的访问限制。

IP 访问列表有一个标签,该标签是列表的名称,也是列表类型。 此列表类型是 ALLOW(允许列表)或 BLOCK(阻止列表,这意味着即使在允许列表中也要排除)。

例如,添加允许列表:

databricks  ip-access-lists create --json '{
 "label": "office",
 "list_type": "ALLOW",
 "ip_addresses": [
   "1.1.1.1"
  ]
}'

列出 IP 访问列表

databricks ip-access-lists list

更新 IP 访问列表

至少指定以下值之一进行更新:

  • label - 此列表的标签。
  • list_type - ALLOW(允许列表)或 BLOCK(阻止列表,这意味着即使在允许列表中也要排除)。
  • ip_addresses - 一个 IP 地址和 CIDR 范围的 JSON 数组,作为字符串值。
  • enabled - 指定是否启用了该列表。 传递 truefalse

响应是你传入的对象的副本,其中包含其他的 ID 和修改日期字段。

例如,若要禁用列表,请运行:

databricks  ip-access-lists update <list-id> --json '{
  "enabled": "false"
}'

删除 IP 访问列表

若要删除 IP 访问权限:

databricks  ip-access-lists delete <list-id>